!!!强烈建议改进路由切换后SNAT不能及时失效的问题

强烈建议改进路由切换后SNAT不能及时失效的问题。该问题描述如下：
一， 最近测试一个MIG 4GVPN组网项目，其中一个需求就是如果有线网线（拨号或光纤）断了，就自动切换到4G网络联网。
测试步骤在mig 上配置两条线路：线路1为静态IP，线路2为4G网络， mig内网口做网关直接一台测试PC：
测试结果：两条线路都正常在线的时候，PC长ping一个外网IP，比如8.8.8.8，这时把线路1断开，PC上长ping就会一直显示超时，但是换个ping的目标IP比如www.baidu.com就正常，说明已经切换到线路2了。
最后抓包也证实了如果一直长ping外网地址，线路1断了以后，数据切换为线路2也成功了，但就是走线路2出去的数据源IP竟然为线路1的公网IP，这样肯定就不通了！然而此现象除非手动中断Ping数据，不然会一直这样保持下去。
针对这种测试，用户反应之前测试艾泰路由器的时候长ping着切换线路也没出现我们这种情况。。。。

二，些问题对实际应用的影响，强烈建议改进
用户多个分支使用上网行为管理IPSec VPN对接承载用户多种业务，最近上了一套语音系统，语音客户机（以下称话机）部署在所有分支机构；语音网关部署在总部，目前已经多次如果上网行为管理停电重启或者外网线路1断开（都是双线路部署），都会出现语音连接不正常的现象。
该问题已证实如下描述所导致：
如果在上网行为管理重启或外网线路断开的时候，在IPsec VPN连接还未建立的时候，由于话机或语音网关是UDP的sip协议，只要连网就会发数据不停的彼此注册，此时由于VPN还未建立，所以语音网关或主机的路由为默认路由会匹配走互联网线路并匹配SNAT转换为公网IP，之后当IPsec VPN连接建立以后，就发现话机与语音网关之前的通讯数据，竟然会以源为外网IP的数据走VPN隧道传输，
如下两图所示，不论在分支端和总部都会出现有公网IP做为源IP的数据，走VPN隧道传输！！！


临时解决方法：最近1个月遇到几次该问题都是先把设备关机，然后把内网口网线拔了。最后设备开机以后VPN建立再把内网网线插上，但是设备重启如果分支的还好，在昨天总部也出现类似问题，总部在晚上12点以前是不允许断网的！所以用户已经跟我们反馈要求给个合理的解决方法，而不是现场拔网线、重启设备之类的。

总结，如上文所提两个实际发生的案例，希望某公司本着客户需求，产品完善的精神能给予相应的解决方法。
本人也想了一些思路不知能否实现 ：
1，如果能在AC上增加SNAT转换的条件：比如话机的IP访问语音网关的IP都是私网IP，而私网IP之间访问不进行SNAT转换。
2，能否在设备新增个清空SNAT会话表的一个功能按钮。
3，在网上查阅一些资料，跟本文所涉及到的现象类似，可以参考一下  《终于搞定Linux的NAT即时生效问题》 http://blog.csdn.net/dog250/article/details/17654157  “引：Linux的NAT不能及时生效，因为它是基于ip_conntrack的，如果在NAT的iptables规则添加之前，此流的数据包已经绑定了一个ip_conntrack，那么该NAT规则就不会生效，直到此ip_conntrack过期，如果一直有数据在鲁莽地尝试传输，那么就会陷入僵持状态。”

针对第二个语音的问题处理，现在已经找到个方法：分别在总部和分支的AC上做一条防火墙策略，禁止LAN-WAN方向的语音网关和话机的所有协议，然后重启下设备就恢复正常，以后再也不用担心重启或切换线路时再出问题啦。

您好,此问题我们之前有关注到,已安排做改进.谢谢反馈.